Analyse juridique du piratage massif des comptes Facebook à l’aune du RGPD

Il y a une semaine, le mardi 25 septembre 2018, une faille de sécurité informatique a été découverte par Facebook. Elle aurait touché environ 50 millions de compte dans le monde entier et plus précisément la fonctionnalité « Aperçu du profil » qui permet de voir à quoi ressemble son compte lorsque d’autres personnes le consultent. Le cabinet livre son analyse juridique à l’aune du RGPD.

Mark Zuckerberg a dévoilé l’existence de cette faille dans les médias assez rapidement et annoncé que la faille avait été « colmatée » dans les 48 heures. Plus qu’une question de transparence et d’éthique de la multinationale vis-à-vis des utilisateurs de la plateforme, informer les personnes de l’atteinte à la confidentialité de leurs données personnelle est aujourd’hui une véritable exigence légale dont le non-respect peut entrainer des sanctions très importantes.

C’est l’occasion de faire un point sur les obligations et risques encourus en cas de faille de sécurité qui peut concerner n’importe quelle entreprise bien qu’en l’espèce, il s’agisse de l’une des plus voraces de données personnelles.

Pour rappel, le règlement européen sur la protection des données personnelle (RGPD) applicable depuis le 25 mai 2018 prévoit en ses articles 33 et 34 une procédure à suivre en cas de violation de données à caractère personnel. Or, les comptes des ressortissants de l’Union européenne ont été touchés, entraînant de facto l’applicabilité du RGPD à la faille.

Il existe trois grandes catégories d’atteinte aux données personnelles, qui peuvent résulter d’un accident ou d’actes malveillants :

• La violation de la confidentialité, en cas de divulgation ou d’accès non autorisé aux données ;
• La violation de la disponibilité, ce qui correspond à la perte ou à la destruction des données ;
• La violation de l’intégrité, lorsque les données sont altérées ou modifiées.

D’après les informations communiquées, il s’agirait d’un cas typique de violation de la confidentialité, puisque les pirates informatiques n’ont pas supprimé ou modifié les données des comptes. Les risques d’atteinte à la vie privée et le nombre important de comptes affectés supposent un risque évident pour les droits fondamentaux des personnes concernées.

Par conséquent, en vertu de l’article 32 du RGPD, Facebook était tenu de procéder à une notification auprès de l’autorité de protection des données européenne compétente (l’autorité dite « chef de file » désignée dans l’Union Européenne) dans les 72 heures de la découverte de la faille, en l’espèce, l’autorité de protection irlandaise.

Mais, surtout, Facebook était également tenu de communiquer toutes les informations utiles sur cette attaque auprès de l’ensemble des victimes du piratage en vertu de l’article 34 du RGPD, puisque le risque d’atteinte à leurs droits est « élevé », d’autant que la faille est d’origine malveillante. En effet, les informations rattachées à un compte sont éminemment sensibles puisqu’elles concernent la vie privée des personnes, leur image, leurs correspondances, leurs goûts, etc.

L’opération de communication entreprise dans des délais records correspond donc purement et simplement au respect des obligations de Facebook en matière de sécurité des données personnelles. Cette compliance à la procédure de violation des données instituée par le RGPD ne permettra toutefois pas à Facebook de s’exonérer totalement de sa responsabilité vis-à-vis des autorités compétentes et de ses utilisateurs.

Notamment, il conviendrait de vérifier si les ingénieurs de Facebook ont observé les principes de protection des données dès la conception et par défaut (by design and by défault) prévu par l’article 25 du RGPD ainsi que les principes de collecte licite loyale et limitée au regard des finalités (minimisation) prévues par l’article 5.

La sanction administrative qui pourrait être prononcée (pouvant aller jusqu’à 4% du chiffre d’affaires de la multinationale) n’est pas par ailleurs pas exclusive des dommages et intérêts que les personnes concernées sont en droit de demander.

En France, les voies de recours pour obtenir réparation des dommages sont désormais multiples, puisque les titulaires de comptes piratés pourront tenter d’obtenir réparation en (i) portant plainte auprès de la CNIL, (ii) en se regroupant pour former une action de groupe aux fins d’obtenir le versement de dommages et intérêts (nouvelle voie de recours prévue par les articles 80 et 82 du RGPD) ou (iii) en assignant individuellement Facebook.

Enfin, il semblerait que la faille de sécurité puisse également concerner les services tiers via la fonctionnalité Facebook Connect (applications auxquelles les utilisateurs se connectent avec les identifiants Facebook). Dès lors, si la faille a contaminé d’autres services et permis des accès frauduleux, les sites concernés pourraient se retourner contre Facebook en cas de violation prouvée du RGPD ayant entraîné un dommage.

Ce piratage massif des comptes Facebook est un cas d’école de la responsabilisation et de transparence accrue des acteurs du numérique prévues par le RGPD, mais également des risques importants qu’ils encourent désormais en cas d’atteinte aux données personnelles qu’ils traitent en tant que responsables de traitement ou sous-traitants.